2. El Planeamiento de la Auditoria garantiza el diseño de una estrategia adaptada las condiciones de cada entidad tomando como base la información recopilada en la etapa de Exploración Previa. En este proceso se organiza todo el trabajo de Auditoria, las personas implicadas, las tareas a realizar por cada uno de los ejecutantes, los recursos necesarios, los objetivos, programas a aplicar entre otros, es el momento de planear para garantizar éxito en la ejecución de la misma. En el siguiente artículo se plantean los elementos más importantes de esta etapa con el fin de lograr el cumplimiento de los objetivos y la mejor ejecución de la Auditoria.
3. Auditoría de sistemas computacionales (Auditoría informática) Motivados por la importancia de continuar con la exposición de las definiciones de cada uno de los tipos de auditorías, y debido a que la esencia de este libro es enfatizar la tras cendencia, utilidad y especialidad de la auditoría de sistemas computacionales (ASC), a continuación presentamos cada una de las definiciones de auditorías especializadas de los sistemas computacionales, las cuales se aplican para las diferentes áreas y disciplinas de este ambiente informático. Estas definiciones contendrán únicamente la exposición de los principales conceptos de esta auditoría y, si es el caso, un breve comentario, ya que en los siguientes capítulos profundizaremos en su estudio y aplicaciones. Las definiciones propuestas para la auditoría de sistemas computacionales son las siguientes:
4. Auditoria informática Auditoria con la computadora Auditoria sin la computadora Auditoria a la gestión informática Auditoria al sistema de computo Auditoria en el entorno de la computadora Auditoria sobre la seguridad de los sistemas computaciones Auditoria a los sistemas de redes Auditoria integral a los centros de computo Auditoria ISO-9000 al os sistemas computacionales Auditoria Outsorcing Auditoria ergonómica de sistemas computacionales
5. Finalidad y utilidad. Estos dos conceptos serán el referente para diferenciar los distintos tipos de auditoria que se pueden plantear en una red telemática.
9. Se debe garantizar que exista: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física de la misma.
10. Haya procedimiento de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.
11. En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones: Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.
12. Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos. Que se comprueban si: El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
13. Inhabilitar el software o hardware con acceso libre. Generar estadística de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor. El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un análisis del riesgo de aplicaciones en los procesos. Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciòn.
14.
15. El control es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ellos para incrementar la eficiencia y eficacia de una institución.
16.
17. El sistema de control interno comprende el plan de la organización y todos los métodos coordinados y medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la confiabilidad de los datos contables.
18. Definiciones El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla) El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G. Plattini)
19. Debido a que cada día es mas frecuente el uso de redes en las instituciones, las cuales que van desde simples redes internas y redes locales (LANs), hasta las redes metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El establecimientos para estos controles para la seguridad en sistemas de redes y sistemas multiusuario de una empresa es de vital importancia. Razón por la cual se debe tomar medidas muy especificas para la protección, resguardo y uso de programas, archivos e información compartida de la empresa.
20. Respecto a la seguridad en redes, existe un sinnúmero de medidas preventivas y correctivas, las cuales constantemente se incrementan en el mundo de los sistemas. Debido a la características de los propios sistemas computacionales , a las formas de sus instalaciones , el numero de terminales y a sus tipos de conexión , es necesario adaptarse a los constantes cambios tecnológicos que buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus programas de uso colectivo, de su archivos de información y de su demás características.
21. La seguridad en las redes es muy eficiente y con una profundidad digna de señalarse debido a que constantemente se establecen y actualizan sus controles, los cuales van desde restricción de las accesos para usuarios, hasta el uso de palabras claves para el ingreso a los programas y archivos de la empresa , así como el monitoreo de actividades, rutinas de auditoria para identificar comportamientos, con el propósito de salvaguardar la información y los programas de estos sistemas.
22. Lo mismo ocurre respecto a los planes y programas de contingencias diseñados para la salvaguarda de la información, de los programas y de los mismos sistemas de red establecidos en la empresa.
23. CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRÓNICO DE DATOS El funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrónico de datos ( PED ) tiene que ver con los siguientes aspectos.
24.
25.
26.
27.
28.
29.
30.
31.
32. I etapa: Plantación de la auditoria de sistemas computacionales II etapa: ejecución de la auditoria de sistemas computacionales III etapa: Dictamen de la auditoria de sistemas computacionales.
33. P. 1 Identificar origen de la auditoria P. 2 Realizar una visita preliminar al área que será evaluada P. 3 Establecer los objetivos de la auditoria P. 4 Determinar los puntos que serán evaluados en la auditoria P. 5 Elaborara planes, programas y presupuestos para realizar la auditoria P. 6 Identificar y seleccionar los métodos. Herramientas, instrumentos y procedimientos necesarios para la auditoria P. 7 Asignar los recursos y sistemas computacionales para la auditoria
34. E.1 Realizar las acciones programadas para la auditoria E.2 Aplicar los instrumentos y herramientas para la auditoria E.3 Identificar y elaborar los documentos de desviaciones encontradas E.4 Elaborar el dictamen preliminar y presentarlo a discusión E.5 Integrar el legajo de papeles de trabajo de la auditoria
35. D.1 Analizar la información y elaborar un informe de situaciones detectadas D.2 Elaborar el dictamen final D.3 Presentar el informe de auditoria
36.
37. a fin de hacer un recuento de los bienes informáticos destinados al funcionamiento de la red y del área de sistemas, que conforman la red. Para llevar a cabo esto, es recomendable realizar los siguientes inventarios: Inventario de los componentes de la redes de computo de la empresa Inventario de los sistemas operativos Inventario de la seguridad y protección de la información y de los datos del sistema de red. Inventario de los bienes muebles, inmuebles, materiales y consumibles del área de sistema, a fin de valorar su protección y uso. Inventario del acceso a las redes Inventario de configuraciones y protocolo, tarjetas y demás características Inventario de las normas políticas reglamento y medidas preventivas y correctivas del área de sistemas
38. para revisar los proyectos de instalación de la red, planos de configuración de cableado, configuraciones, distribución de los componentes de la red, los planes contra contingencias, manuales e instructivos de seguridad,, licencias y resguardos de sistemas, bitácoras de reportes de incidencias que afectan a la red y al desarrollo de proyecto de redes y de nuevos sistemas, bitácora de mantenimiento y evaluación, así como planes, programas y presupuestos para satisfacer los requerimientos de operación y funcionalidad de la red de computo. Siempre y cuando esta revisión se realice para evaluar lo que se refiere a la administración y control de las funciones de la red de los activos informáticos que la integran, así como el manejo de la información y su sistema.
39.
40. ya que con estas herramientas puede verificar que quien realice la auditoria cubra todos los puntos descritos en su plantación de auditoria. Inclusive, de acuerdo con el diseño de esta lista también puede auditar todos los aspectos que repercuten en la red de la empresa.
41. debido a que al evaluar el cumplimiento de las funciones, tareas y operaciones relativas a la administración y funcionamiento de una red de computo, seria casi imposible que inoperante, revisar todas las actividades que se realizan en la red, , mas aun cuando esta es WAN o Internet. Por esta razón debe usar muestras representativas del cumplimiento de las operaciones de la red adoptada en la organización, así como en la trasmisión de datos de la red.
42. Es una herramienta muy útil, ya que le permite evaluar el funcionamiento adecuado de cada una de las partes de la red de computo, al asignarle a cada parte el peso que, según su criterio, le corresponda, para hacer mas equitativa la evaluación , en este caso a cada una de las partes consideradas como división fundamental del funcionamiento de una red; por ejemplo; la evaluación del diseño de la red, del funcionamiento de los protocolos, de la parte técnica de su funcionamiento o cualquier otra división establecida por el auditor.
43.
44.
45.
46. Auditoria de sistemas computacional de Carlos Muños Razo www.monografia.com www.emagister.com